Segurança : Cisco FlexVPN

Exemplo da configuração de cliente de FlexVPN e de Anyconnect IKEv2

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Dezembro 2015) | Feedback

Introdução

Este documento descreve como configurar o Cliente de mobilidade Cisco AnyConnect Secure para usar o Remote Authentication Dial-In User Service (RADIUS) e os atributos da autorização local a fim autenticar contra o microsoft ative directory.

Nota: Atualmente, o uso da base de dados de usuário local para a autenticação foi adicionado através da requisição de aprimoramento CSCui07025.

Contribuído por jovens do gaio e por Atri Basu, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 15.2(T) ou mais recente do ® do Cisco IOS
  • Versão 3.0 ou mais recente do Cliente de mobilidade Cisco AnyConnect Secure
  • Microsoft ative directory

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza as seguintes configurações:

Configuração do hub

  1. Configurar o RADIUS de autenticação somente e defina a autorização local.
    aaa new-model
    aaa group server radius FlexVPN-AuthC-Server-Group-1
    server-private 10.7.7.129 key Cisco123
    aaa authentication login FlexVPN-AuthC-List-1 group
    FlexVPN-AuthC-Server-Group-1
    aaa authorization network FlexVPN-AuthZ-List-1 local

    O comando list da autentificação de login aaa refere o grupo do Authentication, Authorization, and Accounting (AAA) (que define o servidor Radius). Os estados de comando list da rede de autorização AAA que definiram localmente usuários/grupos devem ser usada. A configuração no servidor Radius deve ser mudada a fim permitir pedidos de autenticação deste dispositivo.

  2. Configurar a política da autorização local.
    ip local pool FlexVPN-Pool-1 10.8.8.100 10.8.8.200
    crypto ikev2 authorization policy FlexVPN-Local-Policy-1
    pool FlexVPN-Pool-1
    dns 10.7.7.129
    netmask 255.255.255.0
    def-domain example.com

    O comando ip local pool é usado definir os endereços IP de Um ou Mais Servidores Cisco ICM NT que são atribuídos ao cliente. Uma política da autorização é definida com um username de FlexVPN-Local-Policy-1, e os atributos para o cliente (servidores DNS, netmask, lista rachada, Domain Name, e assim por diante) são configurados aqui.

  3. Assegure-se de que o server use um certificado (RSA-SIG) a fim se autenticar.

    O Cliente de mobilidade Cisco AnyConnect Secure exige que o server se autentica que usa um certificado (RSA-SIG). O roteador deve ter um certificado do servidor de Web (isto é, um certificado com “autenticação de servidor” dentro da extensão chave prolongada do uso) de um Certificate Authority (CA) confiado.

    Refira etapas 1 a 4 em ASA 8.x instalam manualmente Certificados do vendedor da 3ª parte para o uso com exemplo de configuração WebVPN, e mudam todos os exemplos do Ca cripto ao pki cripto.

    crypto pki trustpoint FlexVPN-TP-1
    enrollment url
    serial-number none
    fqdn flex-hub.example.com
    ip-address none
    subject-name cn=flex-hub.example.com
    revocation-check crl
    rsakeypair FlexVPN-TP-1-Key 2048
  4. Configurar ajustes para esta conexão.
    crypto ikev2 profile FlexVPN-IKEv2-Profile-1
    match identity remote key-id example.com
    identity local dn
    authentication remote eap query-identity
    authentication local rsa-sig
    pki trustpoint FlexVPN-TP-1
    dpd 60 2 on-demand
    aaa authentication eap FlexVPN-AuthC-List-1
    aaa authorization group eap list FlexVPN-AuthZ-List-1
    FlexVPN-Local-Policy-1
    virtual-template 10

    O perfil ikev2 cripto contém a maioria dos ajustes relevantes para esta conexão:
    • chave-identificação remota da identidade do fósforo - Refere a identidade IKE usada pelo cliente. Este valor de série é configurado dentro do perfil de AnyConnect XML.
    • identidade dn local - Define a identidade IKE usada pelo hub de FlexVPN. Este valor usa o valor de dentro do certificado usado.
    • telecontrole da autenticação - Estados que o EAP deve ser usado para a authenticação do cliente.
    • estados locais da autenticação que os Certificados devem ser usados para a autenticação local.
    • eap da autenticação aaa - Estados para usar a lista FlexVPN-AuthC-List-1 do início de uma sessão da autenticação de AAA quando o EAP for usado para a autenticação.
    • lista do eap do grupo da autorização aaa - Estados para usar a lista FlexVPN-AuthZ-List-1 da rede de autorização AAA com o username de FlexVPN-Local-Policy-1 para atributos da autorização.
    • virtual-molde 10 - Define que molde a se usar quando uma interface de acesso virtual for clonada.
  5. Configurar um perfil IPSec que ligue de volta ao perfil IKEv2 definido em etapa 4.
    crypto ipsec profile FlexVPN-IPsec-Profile-1
    set ikev2-profile FlexVPN-IKEv2-Profile-1

    Nota: O Cisco IOS utiliza padrões espertos. Em consequência, um grupo da transformação não precisa de ser definido explicitamente.

  6. Configurar o molde virtual de que as interfaces de acesso virtual são clonadas:
    • IP unnumbered - Unnumber a relação de uma distribuição da interface interna assim que do IPv4 pode ser permitido na relação.
    • IPv4 do IPsec do modo de túnel - Define a relação para ser um tipo túnel VTI.
    interface Virtual-Template10 type tunnel
    ip unnumbered GigabitEthernet0/0
    tunnel mode ipsec ipv4
    tunnel protection ipsec profile FlexVPN-IPsec-Profile-1
  7. Limite a negociação ao SHA-1. (Opcional)

    Devido à identificação de bug Cisco CSCud96246, o cliente de AnyConnect pôde não valida corretamente o certificado do hub de FlexVPN. Esta edição é devido a IKEv2 que negocia uma função SHA-2 para a função Pseudo--aleatória (PRF) visto que o certificado do FlexVPN-hub foi assinado usando o SHA-1. Este limites de configuração a negociação ao SHA-1:

    crypto ikev2 proposal SHA1-only
    encryption aes-cbc-256
    integrity sha1
    group 5
    crypto ikev2 policy SHA1-only
    match fvrf any
    proposal SHA1-only

Configuração do servidor do microsoft ative directory

  1. No gerente de Windows Server, escolha papéis > política de rede e servidor de acesso > NMP (locais) > clientes RADIUS e server, e clique clientes RADIUS.

    A caixa de diálogo nova do cliente RADIUS aparece.


  2. Na caixa de diálogo nova do cliente RADIUS, adicionar o roteador do Cisco IOS como um cliente RADIUS:
    1. Verifique a possibilidade esta caixa de verificação do cliente RADIUS.
    2. Dê entrada com um nome no campo de nome amigável. Este exemplo usa o FlexVPN-hub.
    3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador ao campo de endereço.
    4. Na área secreta compartilhada, clique o botão de rádio manual, e incorpore o segredo compartilhado ao segredo compartilhado e aos campos secretos compartilhados Confirm.

      Nota: O segredo compartilhado deve combinar o segredo compartilhado configurado no roteador.

    5. Clique em OK.
  3. Na relação do gerenciador do servidor, expanda políticas, e escolha políticas de rede.

    A caixa de diálogo nova da política de rede aparece.


  4. Na caixa de diálogo nova da política de rede, adicionar uma política de rede nova:

    1. Dê entrada com um nome no campo de nome da política. Este exemplo usa FlexVPN.
    2. Clique o botão de rádio do servidor de acesso do tipo de rede, e escolha não especificado da lista de drop-down.
    3. Clique em Next.
    4. Na caixa de diálogo nova da política de rede, o clique adiciona a fim adicionar uma condição nova.
    5. Na caixa de diálogo seleta da circunstância, selecione a condição do endereço do IPv4 NAS, e o clique adiciona.

      A caixa de diálogo do endereço do IPv4 NAS aparece.


    6. Na caixa de diálogo do endereço do IPv4 NAS, incorpore o endereço do IPv4 do servidor do acesso de rede a fim limitar a política de rede somente aos pedidos que originam deste roteador do Cisco IOS.

    7. Clique em OK.


    8. Na caixa de diálogo nova da política de rede, clique o acesso concedeu o botão de rádio a fim permitir o acesso do cliente à rede (se as credenciais fornecidas pelo usuário são válidas), e clicam-no em seguida.


    9. Assegure somente Microsoft: A senha segura (EAP-MSCHAP v2) aparece nos tipos área EAP a fim permitir que o EAP-MSCHAPv2 seja usado como o método de comunicação entre o dispositivo IOS Cisco e o diretório ativo, e clica em seguida.

      Nota: Deixe as opções de todos os “métodos de autenticação menos seguros desmarcadas.

    10. Continue através do assistente e aplique quaisquer limitações ou ajustes adicionais como definidos por sua política de segurança das organizações. Além, assegure-se de que a política esteja alistada primeiramente no ordem de processamento segundo as indicações desta imagem:

Configuração do Cliente

  1. Crie um perfil XML dentro de um editor de texto, e nomeie-o flexvpn.xml.

    Este exemplo usa este perfil XML:

    <?xml version="1.0" encoding="UTF-8"?>
    <AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/
    AnyConnectProfile.xsd">
    <ClientInitialization>
    <UseStartBeforeLogon UserControllable="true">false
    </UseStartBeforeLogon>
    <AutomaticCertSelection UserControllable="true">true
    </AutomaticCertSelection>
    <ShowPreConnectMessage>false</ShowPreConnectMessage>
    <CertificateStore>All</CertificateStore>
    <CertificateStoreOverride>false</CertificateStoreOverride>
    <ProxySettings>Native</ProxySettings>
    <AllowLocalProxyConnections>true
    </AllowLocalProxyConnections>
    <AuthenticationTimeout>12</AuthenticationTimeout>
    <AutoConnectOnStart UserControllable="true">false
    </AutoConnectOnStart>
    <MinimizeOnConnect UserControllable="true">true
    </MinimizeOnConnect>
    <LocalLanAccess UserControllable="true">false
    </LocalLanAccess>
    <ClearSmartcardPin UserControllable="true">false
    </ClearSmartcardPin>
    <AutoReconnect UserControllable="false">true
    <AutoReconnectBehavior UserControllable="false">
    DisconnectOnSuspend
    </AutoReconnectBehavior>
    </AutoReconnect>
    <AutoUpdate UserControllable="true">false</AutoUpdate>
    <RSASecurIDIntegration UserControllable="false">
    Automatic
    </RSASecurIDIntegration>
    <WindowsLogonEnforcement>SingleLocalLogon
    </WindowsLogonEnforcement>
    <WindowsVPNEstablishment>LocalUsersOnly
    </WindowsVPNEstablishment>
    <AutomaticVPNPolicy>false</AutomaticVPNPolicy>
    <PPPExclusion UserControllable="false">Disable
    <PPPExclusionServerIP UserControllable="false">
    </PPPExclusionServerIP>
    </PPPExclusion>
    <EnableScripting UserControllable="true">true
    <TerminateScriptOnNextEvent>true
    </TerminateScriptOnNextEvent>
    <EnablePostSBLOnConnectScript>true
    </EnablePostSBLOnConnectScript>
    </EnableScripting>
    <EnableAutomaticServerSelection UserControllable="false">false
    <AutoServerSelectionImprovement>20
    </AutoServerSelectionImprovement>
    <AutoServerSelectionSuspendTime>4
    </AutoServerSelectionSuspendTime>
    </EnableAutomaticServerSelection>
    <RetainVpnOnLogoff>false
    </RetainVpnOnLogoff>
    </ClientInitialization>
    <ServerList>
    <HostEntry>
    <HostName>FlexVPN Hub</HostName>
    <HostAddress>flexvpn-hub.example.com</HostAddress>
    <PrimaryProtocol>IPsec
    <StandardAuthenticationOnly>true
    <AuthMethodDuringIKENegotiation>EAP-MSCHAPv2</AuthMethodDuringIKENegotiation>
    <IKEIdentity>example.com</IKEIdentity>
    </StandardAuthenticationOnly>
    </PrimaryProtocol>
    </HostEntry>
    </ServerList>
    </AnyConnectProfile>

    • o <hostname> é uma sequência de caracteres de texto que apareça no cliente.
    • o <HostAddress> é o nome de domínio totalmente qualificado (FQDN) do hub de FlexVPN.
    • o <PrimaryProtocol> configura a conexão para usar IKEv2/IPsec um pouco do que SSL (o padrão em AnyConnect).
    • o <AuthMethodDuringIKENegotiation> configura a conexão para usar o MSCHAPv2 dentro do EAP. Este valor é exigido para a autenticação contra o microsoft ative directory.
    • o <IKEIdentity> define o valor de série que combina o cliente a um perfil IKEv2 específico no hub (veja etapa 4).

    Nota: O perfil do cliente é algo que é usado somente pelo cliente. Recomenda-se que um uso do administrador o editor do perfil de AnyConnect a fim criar o perfil do cliente.


  2. Salvar o arquivo flexvpn.xml ao diretório apropriado como catalogado nesta tabela:

    OSLocal
    Windows XPmobilidade segura ClientProfile %ALLUSERSPROFILE%Application DataCiscoCisco AnyConnect
    Windows Vista/7mobilidade segura ClientProfile %PROGRAMDATA%CiscoCisco AnyConnect
    Mac OS X/opt/cisco/anyconnect/profile/
    Linux/opt/cisco/anyconnect/profile/


  3. O fim e reinicia o cliente de AnyConnect.



  4. Na caixa de diálogo do Cliente de mobilidade Cisco AnyConnect Secure, escolha o hub de FlexVPN, e o clique conecta.

    Cisco AnyConnect | A caixa de diálogo do hub de FlexVPN aparece.


  5. Incorpore um nome de usuário e senha, e clique a APROVAÇÃO.

Verificar

A fim verificar a conexão, use o comando remoto do cliente-IP address do detalhe da sessão de criptografia da mostra. Refira a sessão de criptografia da mostra para obter mais informações sobre deste comando.

Nota: A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use o OIT a fim ver uma análise do emissor de comando de execução.

Troubleshooting

A fim pesquisar defeitos a conexão, recolher e analisar logs do DARDO do cliente e usar estes comandos debug no roteador: pacote do debug crypto ikev2 debug crypto ikev2 internos.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.



Document ID: 115941